1st July 2026
Zrozumienie, że najsłabszym ogniwem w architekturze bezpieczeństwa firmy jest człowiek, to truizm. Jednak skala ignorancji, z jaką organizacje podchodzą do kwestii tożsamości cyfrowej oraz brak realnej współpracy na linii IT-biznes, prowadzą do katastrofalnych skutków. To główne wnioski z III Grupy Fokusowej dotyczącej Cyberbezpieczeństwa, zorganizowanej przez Pro Progressio w Warszawie.
W warszawskiej siedzibie Pro Progressio (Loftmill LIXA C) odbyło się kolejne z cyklicznych, 90-minutowych spotkań w formule grupy fokusowej. Tym razem w grupie fokusowej aktywnie wzięli udział przedstawiciele firm Adaptive Solutions and Advisory Group, Trumpf GBS, Moderna GBS, Hillway Training & Consulting, CSI Leasing oraz Strefy Kreatywności, którzy podjęli temat, który od dwóch dekad nie schodzi z agendy dyrektorów ds. bezpieczeństwa, czyli phishing.
Spotkanie poprowadził Damian Wróblewski – założyciel Security Masters i jeden z nielicznych w Polsce ekspertów z prestiżowym tytułem Microsoft MVP (Most Valuable Professional). Dyskusja, moderowana przez Wiktor Doktór, prezesa Pro Progressio, szybko wykroczyła poza ramy teoretycznych definicji, obnażając bolesną prawdę o stanie zabezpieczeń w polskich przedsiębiorstwach.
Damian Wróblewski rozpoczął od demonstracji "na żywo", przeprowadzając kontrolowany atak phishingowy na smartfony uczestników spotkania. Eksperyment udowodnił, jak proste techniki socjotechniczne (oparte na ciekawości, chciwości czy skrajnych emocjach) natychmiast usypiają czujność menedżerów.
Wróblewski przytoczył m.in. historię z konferencji w Niemczech, gdzie za pomocą zwykłego, pozbawionego grafik i kolorów kodu QR, obiecującego nagrody, skłonił aż 400 osób do przekazania swoich danych dostępowych – w tym do prywatnych kont e-mail oraz bankowości elektronicznej. Podobny test przeprowadzony dwa lata wcześniej w Bydgoszczy zakończył się przejęciem pełnych danych od osób, które bezrefleksyjnie skanowały kody QR rozklejone w przestrzeni publicznej.
„O phishingu rozmawiamy od 20 lat, a jego skuteczność nie spada” – alarmował Wróblewski, wskazując na dramatyczny brak podstawowej edukacji w szkołach średnich i na uczelniach. Metody przestępców ewoluują z masowych wysyłek do precyzyjnie targetowanego spearfishingu, wykorzystującego dane z profili na portalach LinkedIn czy Facebook. Skala zagrożenia jest gigantyczna – najmniejsza dzienna liczba prób ataków (w tym logowań z różnych zakątków świata czy ataków DDoS), z jaką mierzył się zespół prelegenta w małym setupie, wynosiła aż 400 tysięcy.
Jednym z najmocniejszych punktów dyskusji było zdefiniowanie barier psychologicznych i strukturalnych wewnątrz korporacji. Według eksperta Security Masters, jednym z największych zagrożeń dla bezpieczeństwa organizacji jest... wybujałe ego specjalistów ds. IT.
„Ego w IT zabija firmy. Jeśli działy IT, „bezpiecznicy” oraz szeroko pojęty biznes nie zaczną ze sobą ściśle współpracować i rozmawiać bez wywyższania się, każda firma prędzej czy później padnie ofiarą skutecznego ataku” – ostrzegał Wróblewski. Korporacje często usypiają swoją czujność wdrażaniem drogich systemów klasy EDR (Endpoint Detection and Response) czy automatyzacji, zapominając, że zaawansowane, pisane na zamówienie skrypty przestępców bez problemu omijają te zapory. Co gorsza, audyty i testy bezpieczeństwa są w wielu firmach wdrażane dopiero po fakcie – czyli wtedy, kiedy doszło już do realnego incydentu i paraliżu operacyjnego.
Podczas debaty przytoczono jaskrawy przykład tej znieczulicy: w jednej z firm specjalista ds. bezpieczeństwa zgłosił zarządowi, że sieć nie jest bezpieczna, jednak odmówiono mu budżetu na poprawę infrastruktury. Tego samego wieczoru podjechał samochodem pod centralę firmy, za pomocą prywatnego komputera wykradł wrażliwe maile zarządu i wysłał je na swoją skrzynkę z pytaniem, czy budżet jednak się znajdzie. Odpowiedź nadeszła w godzinę – zarząd natychmiast odblokował 2,5 miliona złotych.
Wróblewski przestrzegł jednak przed samowolnymi testami produkcyjnymi. Polskie prawo jest pod tym względem bezwzględne: przeprowadzanie testów penetracyjnych bez formalnego, pisemnego upoważnienia i kontraktu grozi karą od 3 do 8 lat pozbawienia wolności, gdyż może zostać zakwalifikowane jako akt cyberterroryzmu.
Jak zatem skutecznie chronić biznes przed stratą kapitału i reputacji? Lider grupy fokusowej sformułował dwa kluczowe „protipy”, które jeśli zostaną odpowiednio wdrożone, rozwiązują aż 99,9% problemów związanych z zewnętrznymi cyberatakami:
Ekspert podzielił się również bardzo praktyczną radą wakacyjną: zaapelował o bezwzględny zakaz korzystania z darmowych sieci Wi-Fi w Hiszpanii. Z analiz centrów operacji bezpieczeństwa (SOC) wynika, że tamtejsza otwarta infrastruktura sieciowa jest masowo infekowana przez boty i skrypty cyberprzestępców. Dla celów biznesowych znacznie bezpieczniejszym rozwiązaniem jest zakup lokalnej karty prepaid lub pakietu eSIM i korzystanie wyłącznie z własnego, szyfrowanego połączenia.
Spotkanie Grupy Fokusowej Pro Progressio jasno pokazało, że technologia jest jedynie narzędziem – zarówno w rękach przestępców, jak i obrońców. Prawdziwa tarcza antykryzysowa rodzi się tam, gdzie biznes uczy się słuchać inżynierów, a inżynierowie porzucają techniczny żargon na rzecz partnerskiego dialogu z biznesem.
Back to the NEWS list